Last Updated: 2008-05-11 21:48:56 UTC
by David Goldsmith (Version: 1)
ezTravel易遊網網站被發現存在XSS(Cross-Site Scripting)安全漏洞,到目前為止,尚未修復。(Credit: 天罣)
跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威 脅。
全 球網際網路內容安全領導廠商趨勢科技今日指出,全球遭灰色程式及犯罪程式感染的電腦已高達 72.5 %!此項統計為透過線上掃毒軟體HouseCall 針對包含台灣、澳洲、中國、美國等二十個國家及地區的291,084 台電腦進行掃瞄 (註一),結果顯示各類不懷好意的灰色程式早已攻佔其中,並且被植入廣告程式 (Adware) 的比例更高居 38.6 %,跟六個月前的統計數字相較,為四類灰色程式中唯一上揚的一項,突顯透過植入廣告程式來獲利的手法已成為駭客圖利的另一種管道。
精誠資訊網站又被XSSed發現存在XSS(Cross-Site Scripting)安全漏洞,到目前為止,尚未修復 (之前的解決方案,只是將首頁的搜尋頁面拿到,實際上,並沒有修補XSS漏洞 )。
跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威 脅。
中華軟協資安促進會網站被XSSed發現存在XSS(Cross-Site Scripting)安全漏洞,到目前為止,尚未修復。(Credit: 天罣)
跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威 脅。
注意:請各位幫忙通知他們,謝謝。
麗嬰房媽咪旗下部落格被植入惡意連結,此惡意程式為 TSPY_ONLINEG.IA (竊取帳號與密碼之木馬),,最近有瀏覽這個網頁的網友,請要盡速檢查自己的電腦是否有中毒的情形 (旗下幾乎所有網友的部落格皆有問題,很糟糕,應該很多網友中毒)。(Credit: Google)
對此網址,McAfee SiteAdvisor、趨勢科技網頁信譽評等(Web Reputation Service)查詢結果,都顯示正常,證明此種技術並非Web安全威脅的完美解決分案,換言之,資訊安全絕對無法做到百分百的安全。
台灣 Nikon 網站被植入惡意連結,此惡意程式為 VBS_AGENT.ALYZ,,最近有瀏覽這個網頁的網友,請要盡速檢查自己的電腦是否有中毒的情形 (台灣 Nikon 網站目前在重建中,但常常被植入惡意連結,請各位不要瀏覽此網站)。
對此網址,Google Search、McAfee SiteAdvisor、趨勢科技網頁信譽評等(Web Reputation Service)查詢結果,都顯示正常,證明此種技術並非Web安全威脅的完美解決分案,換言之,資訊安全絕對無法做到百分百的安全。
台灣租車旅遊集團網站被植入惡意連結,此惡意程式為 HTML/Infected.WebPage.Gen,但目前使用 Hinet ADSL 無法連上此惡意連結,使用其他廠商的 ADSL 用戶可能要小心。(Credit: dwjum)
對此網址,Google Search、McAfee SiteAdvisor、趨勢科技網頁信譽評等(Web Reputation Service)查詢結果,都顯示正常,證明此種技術並非Web安全威脅的完美解決分案,換言之,資訊安全絕對無法做到百分百的安全。
中小企業網路大學校網站被XSSed發現存在XSS(Cross-Site Scripting)安全漏洞,到目前為止,尚未修復 (此網站的主辦單位是經濟部中小企業處,而執行單位是中華民國資訊軟體協會)。
跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威 脅。
聯成電腦網站被XSSed發現存在XSS(Cross-Site Scripting)安全漏洞,到目前為止,尚未修復。
跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威 脅。
中華新時代協會網站被植入惡意連結,此惡意程式為 TSPY_ONLINEG.FYU,最近有瀏覽這個網頁的網友,請要盡速檢查自己的電腦是否有中毒的情形。(Credit: Google)
對此網址,McAfee SiteAdvisor、趨勢科技網頁信譽評等(Web Reputation Service)查詢結果,都顯示正常,證明此種技術並非Web安全威脅的完美解決分案,換言之,資訊安全絕對無法做到百分百的安全。